撰文:胡韜
今日凌晨,跨鏈橋項目 Chainswap 再次遭到黑客攻擊,在該橋梁部署智能合約的超 20 個項目代幣都遭遇黑客盜取,幾乎釀成 DeFi 發展史上影響范圍最大的一次安全事故。
根據多名推特用戶公布的資訊,該名黑客地址為 0xEda5066780dE29D00dfb54581A707ef6F52D8113,該名黑客從今日凌晨其陸續盜取了來自 Chainswap 跨鏈橋合約的超 20 個項目代幣,涉及項目包括 Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 PERI Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、OroPocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、SakeSwap 等。
據 Etherscan 與 Bscscan 數據顯示,目前該名黑客地址已通過出售代幣獲利約 230 萬美元,還有價值數十萬美元的代幣尚未出售。根據部分項目方的回應,這可能是因為開發者鎖定了部分被盜資產致使黑客無法出售,目前,Chainswap 已經暫時關閉其跨鏈橋。
推特用戶 @Christoph Michel 對本次安全事故進行了分析,稱每個代幣有跨鏈轉移的代理合約,黑客調用合約時必須在_chargeFee 中支付 0.005 ETH 作為費用,但這個過程沒有真正的身份驗證檢查,只需要 1 個簽名,問題可能是_decreaseAuthQuota 函數,如果當天簽名人的配額已完成,該函數就會恢復,但是每個人似乎都從默認配額開始,所以攻擊者每次只需用不同的地址簽名來規避這一點,然后在_receive 函數中將 volume 參數傳輸到 to 攻擊者地址,
受該事件的影響,ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM 等多個項目代幣都最高出現 40% 以上的跌幅。目前,近 10 個受到影響的項目方已經在推特回應此事,其中多次項目準備發行新代幣,
Chainswap 項目方 發推 表示,所有 ASAP 代幣持有者和 LP 都已被快照,將 1:1 空投新的 ASAP 代幣,這包括交易所的 ASAP 持有者,
OptionRoom 項目方 發推 表示,Chainswap 黑客獲得了 330 萬個 ROOM 代幣,但團隊在黑客出售任何代幣之前就注意到了黑客行為,并決定從 Uniswap 和 Pancakeswap 中移除流動性,以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。目前,團隊正在處理鏈上日志,未來將空投新代幣給 ROOM 持有者。
Antimatter 項目方 發推 表示,已經對所有 MATTER 持有者和 LP 都已經進行快照,并將 1:1 空投新的 MATTER 代幣,包括交易所的 MATTER 持有者,
PERI Finance 項目方 表示,由于 Chainwap 發生漏洞,團隊已經提取 Uniswap 和 Pancakeswap 的所有流動性,這是為了防止黑客出售他獲得的代幣并耗盡流動性, Dafi Finance 項目方發推表示,由于 Chainswap 跨鏈橋被攻擊,黑客出售了 20 萬個 DAFI,團隊將在公開市場回購 DAFI 并持續 6 個月。同時,該項目提醒社區盡快從 Uniswap 等 DEX 提取流動性。
Rai Finance 項目方 發推 表示,經證實 Chainswap 遭到嚴重攻擊,70 萬個 RAI 已經被盜取并存入黑客的火幣賬戶地址,「請忍受 RAI 價格在交易所的暫時波動,我們一直與 Chainswap 團隊保持聯系并監控情況。」
Unifarm 項目方 發推 表示,Chainswap 正遭到攻擊,「他們建議我們取消流動性,我們已經在 Uniswap 和 Pancake Swap 上這樣做了,我們要求社區也移除他們的流動性,直到這個問題得到解決,」該項目還表示,已經利用開發者權限鎖定了黑客的所有 UFARM 代幣,因此黑客無法出售這些代幣,
DAOventures 項目方 發推 表示,由于 Chainswap 被攻擊,黑客獲取并拋售了價值 4 萬美元的 30 萬個 DVG,該項目將拍攝快照對受影響的 DVG 持有者進行補償。
此前在 7 月 2 日,Chainswap 也曾遭遇黑客攻擊,部分用戶代幣被主動從與 ChainSwap 交互的錢包中取出,預計總損失為 80 萬美元,Chainswap 表示已從市場回購少量受影響的代幣并返還合約錢包,其余部分將由 Chainswap 金庫進行全額賠償。
在更早的 4 月,ChainSwap 曾宣布已完成 300 萬美元戰略輪融資,Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital 等參投,目前,Chainswap 已經暫時關閉其跨鏈橋,
